最高超5万美元,谷歌大幅提高了Linux内核漏洞赏金

2021-11-16 10:21:42 浏览数 (1)

谷歌在本周一宣布,将从即日起到2022年1月31日,对发现Linux 内核漏洞的安全人员将提供更高额的报酬奖励。

如果漏洞得到认定,具体的奖励金额将分为两档:发现已知的特权提升类型漏洞可获得31337美元,而发现零日漏洞则可获得50337美元。这些金额相比过去都足足提高了3倍。

谷歌漏洞猎人团队的Eduardo Vela表示:“我们不断致力于提升Linux 内核的安全,因为无论是互联网或谷歌的大部分内容及服务,甚至是云端的Kubernetes服务,都依赖于它的安全性。“

为此,谷歌专门向安全人员设置了一个实验环境来进行漏洞发掘工作,但谷歌强化了Container-Optimized OS,最简单的利用原语在实验室环境中将无法使用。

△ Container-Optimized OS:针对容器进行优化的操作系统,适用于 Compute Engine 虚拟机的操作系统映像,专为运行 Docker 容器而优化。

△ 原语:操作系统中调用核心层子程序的指令,与一般广义指令的区别在于它是不可中断的,而且总是作为一个基本单位出现。

该激励计划奖金确实丰厚,但这也仅仅是Android VRP奖励计划的一部分,如果能提交基于Android系统的漏洞,最高将可获得高达25万美元的奖励。

早前,谷歌也宣布向Linux的一项开源安全计划投入100万美元,主要致力于向有关安全性开发人员提供经济激励。

参考来源

https://securityaffairs.co/wordpress/124094/hacking/google-bug-bounty-linux-kernel-exploits.html

https://www.zdnet.com/article/google-just-tripled-its-bounty-for-linux-kernel-bugs-heres-why/

0 人点赞